Backdoors
Le
S L
Bonsoir
Le noyau Linux étant devenu obèse, comment savoir qu'il ne contient
aucun backdoor suite à des pressions de la NSA, comme Windows (depuis
95 voire avant) et Mac ?
Merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAFPKLMKma3vhksuaX-zZ3w1ti5Vj5Rq=vH9Y5-SuLpjk2hhirA@mail.gmail.com
Le noyau Linux étant devenu obèse, comment savoir qu'il ne contient
aucun backdoor suite à des pressions de la NSA, comme Windows (depuis
95 voire avant) et Mac ?
Merci
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Archive: http://lists.debian.org/CAFPKLMKma3vhksuaX-zZ3w1ti5Vj5Rq=vH9Y5-SuLpjk2hhirA@mail.gmail.com
Bonsoir
C'est à partir de combien de ligne obèse ?
Le code etant libre tu l'auditer ou le faire auditer par des professionnels.
As tu des preuves de ce que tu avances ?
J.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Ben , libre à toi de compiler uniquement ce qui t'es necessaire.
Debina te fournit tous les paquets nécéssaires pour cela.
Sinon tu fais confiance à Debian et aux "images" proposées.
--
Frédric F1sxo
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Dans son message du 22/07/13 à 00:29, S L a écrit :
C'est tout l'intérêt d'avoir son code source disponible à to us (mais la licence GPL n'est pas la seule à fournir cette possibilit é) - vas demander la même chose à Microsoft ! :-p
Cordialement et à bientôt,
Stéphane.
Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Dans son message du 22/07/13 à 00:32, a écrit :
Ben quand on a dépassé la ligne minceur, voyons ! :-D
Donc pour lui faire un petit régime, on passe par la case "configurati on" - avec suppression de toutes les fonctionnalités et pilotes qu'on est sûr de ne jamais s'en servir et "modularisation" autant que possib le des autres qu'on pense utiliser, même occasionnellement - et on com pile tout ça...
Et voila, notre noyau retrouve sa silhouette svelte et sexy. ;-)
Note : A propos de la "modularisation", on doit conserver en interne (c'est -à -dire mettre dans le fichier /boot/vmlinuz-*) quelques unes de ces f onctionnalités et pilotes qui sont nécessaires au démarrage du système GNU/Linux (à moins de passer par initrd). Il faut, qua nd même, éviter de se retrouver avec un noyau anorexique... ;-)
Cordialement et à bientôt,
Stéphane.
Une messagerie gratuite, garantie à vie et des services en plus, à §a vous tente ?
Je crée ma boîte mail www.laposte.net
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
------enig2OBBBPFOEEAPTPKWDQTCW
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Le 22/07/2013 00:28, S L a écrit :
Bonjour,
Tu as
http://fr.wikipedia.org/wiki/Porte_d%C3%A9rob%C3%A9e#Noyau_Linux_.282003. 29
qui est intéressant.
Une bonne question est de savoir combien de temps on met pour s'en
rendre compte quand il y a une backdoor comme ça.
À mon sens, même s'il peut y avoir des bugs qui peuvent permettre une
escalade de privilèges sur la machnie cible, dans notre cas de GNU/Linu x
c'est probablement le côté GNU que le côté Linux qui porte le plu s de
risques. Si le noyau Linux semble être audité régulièrement, le s ystème
est composé de nombreux programmes, et il est sûrement difficile de t ous
les auditer.
Un exemple récent : http://www.exploit-db.com/exploits/25134/ (j'ai
cherché /sudo backdoor/ sur la recherche Google).
Adrien.
------enig2OBBBPFOEEAPTPKWDQTCW
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iQEcBAEBAgAGBQJR7Nv4AAoJEN2mnsXFeEtwbIgH/3o0f1C9InaFe+/Flr3aDx6N
5AR2C7zulqRomFaowGZpc84Zq6apajypTGlkOm+3uX8pfRsoy9exoERlj75DvjLl
qL+3ZalSBdbAltxMDV3BhiTxGcc8zG76Aps01eH0J3Go8i8Y3MNigtJO9JzwpCe2
VB+z9nIqLGhn7vOcy3ca+L4lzegp8l1sQJ/z8AaF9E0i/lCBV8ldmftiq3KtazSI
pSEwRYJZBSzyX/FxcNN7QGy9Z5OUs66tCsfNPDc62ahzz6VBMXjBDKTzGr6d+62U
Mb13Putu5vUpo5so+nafx4r9TAray1ZXxhH5R7SVK0oT2UnW9HWTmz2JqK3i/CQ =cqoJ
-----END PGP SIGNATURE-----
------enig2OBBBPFOEEAPTPKWDQTCW--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
On ne peut pas savoir. Dès que la taille du source ne tient
plus dans la tête d'une personne, il est illusoire de penser
qu'une revue garantie qu'il n'y en a pas, à moins de mettre
en place des processus d'assurance extrêmement lourds.
La seule façon de faire confiance à un logiciel, c'est de
l'avoir écrit entièrement soi-même. Et de le compiler avec
un compilateur qu'on écrit (et assemblé) soi-même. Sur un
processeur qu'on a conçu et gravé soi-même. En espérant qu'à
aucun moment tu n'aies embauché de personne que la NSA
pourrait corrompre.
Y. -- ce n'est pas parce que je suis paranoïaque qu'on ne
m'en veut pas.
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
------enig2FWEAMOTAHDVDLQSBKPPB
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable
Autre point de réflexion : ça ne concerne plus les backdoors mais les bugs exploitables.
La recherche de bugs, c'est comme la chasse au trésor : c'est le premie r arrivé qui en profite. Dans la philosophie du Libre, en profiter ça revient à publier le bug, et c'est un moyen de rentrer dans la communa uté.
Pour d'autres moins scrupuleux, ils gardent le bug par devers eux, écri vent un exploit si c'est possible, et s'en servent éventuellement.
Pour trouver un bug, c'est comme un trésor, il faut savoir où cherche r (et surtout comment). Bilan des courses, le premier gus qui pense à c hercher dans telle direction se retrouve confronté au dilemme sus-nommé (et comme ils disent outre-manche : "With great power comes great respon sibility").
Il y a d'ailleurs un article intéressant qui parle de cette approche da ns le MISC de cet été (fuzzing wireshark). Le gars, parce qu'il a app orté une nouvelle méthode de recherche de bugs, en a trouvé quarant e, alors qu'auparavant la communauté en rapportait une dizaine par an.. . http://www.unixgarden.com/index.php/misc/misc-n68-marsavril-2013-en-k iosque (contrairement à l'url marsavril, c'est bien juillet / août).
Adrien.
------enig2FWEAMOTAHDVDLQSBKPPB
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: OpenPGP digital signature
Content-Disposition: attachment; filename="signature.asc"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
Comment: Using GnuPG with Icedove - http://www.enigmail.net/
iQEcBAEBAgAGBQJR7OG2AAoJEN2mnsXFeEtwuC4IAKHP158FdnOANaMbAQ/SNvjQ
dOxYp5WOJAtqnCKaK3sNj285V0J6rdYgqK15jDkDW7pOV5xsLiEE0mFFy8A8mzXy
XPN1FtlPlDQ4Cwvb0N7tVrKfjYbrx41Ow3hwZ0nzHbuJt1A8KfHGe1xYGn6nw6do
8gfoYO5O0RpJQrJYH5DeMkQpx1c2W80Fnddqv30xAEILQ3O91f8EpWfxTehWivwJ
2Be10ULF4N8t9+VaIgzMzwo5/1PFD9WKOv4AJSltkBhcmrGhItCT8jomL3NTTUxC
VirS45sP0h6HHfobUUcDBu/3vxoOhT+Bq5u9Slc658jJ7OKo8VduX6+N50sFPkE =TkYt
-----END PGP SIGNATURE-----
------enig2FWEAMOTAHDVDLQSBKPPB--
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/
Euh, non, en général, c’est plutôt lâ€™à ‰tat.
Comme quoi l’analogie était bonne !
--
Sylvain Sauvage
--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists
Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Archive: http://lists.debian.org/